Page 22 - BACnet_Europe-Journal_43
P. 22
BACnet Insight
Identification of relevant threats: What potential Cybersicherheit als integraler Bestandteil des Gebäudebetriebs
attacks or disruptions could jeopardize operations?
/dͬKd ZDW ŝŶ ĚĞŶ Leistungsphasen der HOAI
Determination of IT/OT security objectives: What secu-
rity objectives must be achieved to meet the protec- ZĞǀŽůǀŝĞƌĞŶĚĞ /dͬKdͲ^ŝĐŚĞƌŚĞŝƚƐƵŶƚĞƌƐƵĐŚƵŶŐĞŶ ŝŵ ĞƚƌŝĞď
•
ŬƚƵĂůŝƐŝĞƌƵŶŐ ĚĞƐ /dͲ^ŝĐŚĞƌŚĞŝƚƐŬŽŶnjĞƉƚĞƐ ďĞŝ ŶĚĞƌƵŶŐ ĚĞƌ ŶĨŽƌĚĞƌƵŶŐĞŶ ĂƵƐ ĚĞŵ
ĞƚƌŝĞď ŽĚĞƌ ďĞŝ DćŶŐĞůŶ ǁćŚƌĞŶĚ ĚĞƌ 'ĞǁćŚƌůĞŝƐƚƵŶŐ
tion requirements?
hŵƐĞƚnjƵŶŐ ǀŽŶ ^ĐŚƵƚnjŵĂƘŶĂŚŵĞŶ
Derivation of tailored protective measures: What tech- • • hŵƐĞƚnjƵŶŐ ĚĞƐ /dͬKdͲZDWƐ ŝŶ ĚĞƌ ƵƐĨƺŚƌƵŶŐ͕ ĚĞƌ /ŶďĞƚƌŝĞďŶĂŚŵĞ͕ ĚĞƌ ďŶĂŚŵĞ
mďĞƌŐĂďĞ ĂŶ ĚĞŶ ĞƚƌĞŝďĞƌ͕ ŽŬƵŵĞŶƚĂƚŝŽŶĞŶ ƵŶĚ 'ĞŶĞŚŵŝŐƵŶŐĞŶ ǀŽŶ ƉŽƚ͘ /dͲZŝƐŝŬĞŶ
nical and organizational measures are necessary to /dͬKdͲ^ŝĐŚĞƌŚĞŝƚƐĂŶĨŽƌĚĞƌƵŶŐĞŶ͕ &ĞƐƚůĞŐƵŶŐ ǀŽŶ ^ĐŚƵƚnjŵĂƘŶĂŚŵĞŶ
• /ĚĞŶƚŝĨŝŬĂƚŝŽŶ ƌĞůĞǀĂŶƚĞƌ ĞĚƌŽŚƵŶŐĞŶ ƵŶĚ ƌŵŝƚƚůƵŶŐ ĚĞƌ /dͬKdͲ^ŝĐŚĞƌŚĞŝƚƐnjŝĞůĞ
achieve the security objectives? • /dͬKdͲ^ŝĐŚĞƌŚĞŝƚƐĂŶĨŽƌĚĞƌƵŶŐĞŶ ŝŶ ƵƐƐĐŚƌĞŝďƵŶŐĞŶ͕ sŽƌŐĂďĞŶ Ĩƺƌ ƵƐĨƺŚƌĞŶĚĞͬ
/ŶƚĞŐƌĂƚŽƌĞŶ
hŶƚĞƌƐƵĐŚƵŶŐƐŐĞŐĞŶƐƚćŶĚĞ ƵŶĚ ^ĐŚƵƚnjďĞĚĂƌĨĞ
A key aspect of risk management is its iterative and • ĞĨŝŶŝƚŝŽŶ ĚĞƌ ŶĨŽƌĚĞƌƵŶŐĞŶ ĚĞƐ ^ĐŚƵƚnjďĞĚĂƌĨƐ ŝĚĞŶƚŝĨŝnjŝĞƌƚĞƌ
hŶƚĞƌƐƵĐŚƵŶŐƐŐĞŐĞŶƐƚćŶĚĞ ƵŶĚ ďŐůĞŝĐŚ njƵƌ ĞĚĂƌĨƐƉůĂŶƵŶŐ
• ƌŵŝƚƚůƵŶŐ ĚĞƌ ƌĞůĞǀĂŶƚĞŶ ĞĚƌŽŚƵŶŐĞŶ ƵŶĚ ĚĞƌ /dͬKdͲ^ŝĐŚĞƌŚĞŝƚƐnjŝĞůĞ
revolving nature. Cyber security is not a one-time event, • &ŽƌƚƐĐŚƌĞŝďƵŶŐ ĚĞƌ ƌŵŝƚƚůƵŶŐ /dͲďĂƐŝĞƌƚĞƌ ^LJƐƚĞŵĞ © all pictures: Deutsche Bundesbank | © alle Bilder: Deutsche Bundesbank
but a continuous process. Even after a building has been sŽƌƵŶƚĞƌƐƵĐŚƵŶŐ͕ /dͲďĂƐŝĞƌƚĞ ^LJƐƚĞŵĞ͕ hŶƚĞƌƐƵĐŚƵŶŐƐŐĞŐĞŶƐƚćŶĚĞ
• /ŶŝƚŝŝĞƌƵŶŐ ƵŶĚ DŝƚǁŝƌŬƵŶŐ ďĞŝŵ /dͬKdͲZŝƐŝŬŽŵĂŶĂŐĞŵĞŶƚƉƌŽnjĞƐƐ
handed over to the operator, the IT/OT security level • ĞƐĞƚnjƵŶŐ ĚĞƌ Ĩƺƌ ĚĞŶ /dͬKdͲZDW ďĞŶƂƚŝŐƚĞŶ ZŽůůĞŶ
• /ĚĞŶƚŝĨŝnjŝĞƌƵŶŐ ĚĞƌ hŶƚĞƌƐƵĐŚƵŶŐƐŐĞŐĞŶƐƚćŶĚĞ ƵŶĚ ďŐůĞŝĐŚ njƵƌ ĞĚĂƌĨƐƉůĂŶƵŶŐ
must be regularly reviewed and adjusted. New threats, • <ŽŶnjĞƉƚŝŽŶͬ ŶƚǁŝĐŬůƵŶŐ /dͲďĂƐŝĞƌƚĞƌ >ƂƐƵŶŐĞŶ ƵŶĚ ƌŵŝƚƚůƵŶŐ /dͲďĂƐŝĞƌƚĞƌ ^LJƐƚĞŵĞ
technological developments, and changing operational 'ƌƵŶĚůĂŐĞŶĞƌŵŝƚƚůƵŶŐ /dͬKdͲ^ŝĐŚĞƌŚĞŝƚ ŝŶ ĂƵƉƌŽũĞŬƚĞŶ
•
<ŝĐŬͲKĨĨ ƵŶĚ sŽƌƐƚĞůůƵŶŐ ĚĞƐ /dͬKdͲZŝƐŝŬŽŵĂŶĂŐĞŵĞŶƚƉƌŽnjĞƐƐĞƐ ;/dͬKdͲZDWͿ
requirements require the continuous development of • sŽƌƐƚĞůůƵŶŐ ĚĞƌ ďĞŶƂƚŝŐƚĞŶ ZŽůůĞŶ ƐŽǁŝĞ ĞƌƐƚĞ ďƐƚŝŵŵƵŶŐĞŶ njƵƌ ĞƐĞƚnjƵŶŐ ĚĞƌ ZŽůůĞŶ
security measures.
Guide to Cyber Security in Building Automation
Gebäude wurden in der einschlägigen Fachliteratur – ins- Cybersicherheitsrisiken systematisch zu identifizieren, zu
The guide “Cybersecurity in Building Automation” besondere in älteren Ausgaben – häufig noch als isolierte bewerten und durch geeignete Maßnahmen zu minimieren.
developed by WG-FM is based on the construction and Strukturen betrachtet. Dieses Paradigma hat sich grundle-
service phases of the HOAI established in Germany. We gend gewandelt. Heute steht außer Frage, dass moderne Ein zentraler Bestandteil dieses Prozesses ist die Risiko-
believe that combining planning and construction with Gebäude längst keine isolierten Strukturen mehr sind, son- analyse. Sie schafft die notwendige Risikotransparenz, um
modern IT methods will create clear benefits for the dern hochvernetzte Systeme, in denen Operational Techno- fundierte Entscheidungen treffen zu können. Dabei geht
entire life cycle of a building and allow the individual logy (OT) und Information Technology (IT) nahtlos ineinan- es nicht nur um die Identifikation von Schwachstellen,
phases along the HOAI to be broken down accordingly. dergreifen. sondern auch um die Bewertung der potenziellen Auswir-
kungen von Bedrohungen auf den Gebäudebetrieb.
With the help of this guide and taking into account the Diese Entwicklung, befeuert durch Markttrends und durch
requirements of the BSI basic protection, all parties gesetzliche Vorgaben und regulatorische Anforderungen, Cybersicherheit als besondere Leistung schon bei
involved can be guided and supported through the bringt jedoch nicht nur Effizienzgewinne, sondern auch neue der Planung gemäß HOAI.
individual phases in a targeted manner. Herausforderungen mit sich – insbesondere im Bereich der Retrofit mit dem O3 Multisensor
Cybersicherheit. Die Bedrohung durch Cyberangriffe auf Die Bedeutung der Cybersicherheit, insbesondere des
Conclusion: Cybersecurity as an Integral Part of Gebäudeinfrastrukturen ist real und wächst stetig. Risikomanagements spiegelt sich auch in der Honorar-
Building Operations ordnung für Architekten und Ingenieure (HOAI) wider, wo
Umfassende Anforderungen es als besondere Leistung ausgewiesen ist. Dies unter-
Cybersecurity in IT/OT and especially in building streicht, dass IT/OT-Sicherheit nicht als Nebenprodukt
operations is not an option, but a necessity. The Bisher war IT-Sicherheit vor allem als zentrale Aufgabe betrachtet werden kann, sondern als eigenständige und
methodical and risk-oriented approach, which is based der klassischen Unternehmens-IT verankert. Inzwischen essenzielle Aufgabe im Planungs-, Errichtungs- und
on standards such as the BSI basic protection, provides erstreckt sich dieser Sicherheitsansatz jedoch zuneh- Betriebsprozess.
a solid and scalable foundation for systematically mend als IT/OT-Sicherheit auch auf die Betriebstechno-
addressing security risks. Our guide addresses this need logie (OT) und damit auch ganzheitlich auf die Gebäude- Ein methodischer Ansatz zur IT/OT-Sicherheit integriert
and clearly shows how cybersecurity requirements can digitalisierung. die relevanten Bestandteile der Risikoanalyse in die Leis-
be integrated into the HOAI service phases and along tungsphasen der HOAI. Dies umfasst:
the life cycle phases of a property in accordance with Cybersicherheit ist somit als integraler Bestandteil des Klärung von Verantwortlichkeiten und Rollen: Bereits
GEFMA-100. Gebäudebetriebs zu etablieren. Dabei ist es entscheidend, in den frühen Planungsphasen müssen klare Zustän- Website
dass die Maßgabe „Security by Design“ bereits in der digkeiten für Bau, Betrieb und IT/OT-Sicherheit defi-
This not only clarifies responsibilities and roles, but Bedarfsermittlung berücksichtigt wird. Nur so können alle niert werden.
also enables targeted planning and implementation Beteiligten – von Planern über Bauherren bis hin zu Betrei- Identifikation der Untersuchungsgegenstände: Wel-
of protective measures. It is crucial to understand the bern – auf einer fundierten Grundlage agieren. che Systeme und Komponenten sind kritisch für den
iterative nature of risk management in conjunction with Gebäudebetrieb?
HOIA and GEFMA: Cybersecurity is an ongoing process Der Schlüssel: Ein methodischer und risikoorientierter Festlegung von Schutzbedarfen: Welche Verfügbar-
that must be continuously maintained even after a Ansatz. keits-, Vertraulichkeits- und Integritätsanforderungen
building has been commissioned. bestehen für die identifizierten Systeme?
IT/OT-Sicherheit im Gebäudebetrieb Identifikation relevanter Bedrohungen: Welche poten-
The work cards, which have proven their worth since ziellen Angriffe oder Störungen könnten den Betrieb
the initial publication of the “Cybersecurity in Building Die Grundlage für eine nachhaltige IT/OT-Sicherheit im gefährden? Video
Automation” guide in 2024 (see also issue 41 of the Gebäudebetrieb ist ein methodischer und risikoorientierter Ermittlung der IT/OT-Sicherheitsziele: Welche Sicher-
BACnet Europe Journal, page 29), have been updated and Ansatz, der sich an bewährten Standards wie bspw. dem heitsziele müssen erreicht werden, um die Schutzbe-
are also systematically classified in the iterative process. BSI-Grundschutz orientiert. Dieser Ansatz ermöglicht es, darfe zu erfüllen?
22 BACnet Europe Journal 43 09/25